Egyszerűbb lett a csaló oldalak bejelentése – Új eszköz a kriptós adathalászat ellen
A kriptobűnözéssel foglalkozó, non-profit Security Alliance (SEAL) új módszert mutatott be a gyanús, adathalász weboldalak jelentésére. A Verifiable Phishing Reporter (Hitelesített phishing-jelentő) célja, hogy a „rejtőzködő” csalóoldalakat is bizonyíthatóan leleplezze – még akkor is, ha azok CAPTCHA-val, botvédelemmel vagy „cloakinggal” (a szkennereknek ártalmatlan, a felhasználóknak viszont kártékony tartalmat mutató trükkel) próbálnak kibújni az ellenőrzés alól.
Mi a gond a hagyományos jelentésekkel?
Az automata link-szkennerek gyakran tehetetlenek: a captcha és a botvédelem megfogja őket, a csaló oldalak pedig sokszor „elrejtik” a veszélyes részeket, és csak hús-vér felhasználóknak mutatják meg. Gond az is, hogy nehéz hitelesen bizonyítani: a bejelentő tényleg azt a képernyőt látta, amit az áldozat. Mivel a TLS nem ad hivatalos naplót a „ki mit küldött” beszélgetésről, utólag akár el is lehetne ferdíteni a történteket.
SEAL-megoldás: TLS attestation, azaz bizonyítható „amit a felhasználó lát”
A SEAL egy saját kriptográfiai megoldást épített a rendszerébe, úgynevezett „TLS-attestationt”. Ennek lényege, hogy a whitehat kutató bizonyíthatóan ugyanazt a tartalmat rögzíti, amit az áldozat is látna a képernyőjén. Így a beküldött jelentés nem egyszerű képernyőkép vagy naplófájl, hanem kriptográfiailag igazolt bizonyíték arról, hogy a távoli oldal valóban adathalász elemeket mutatott. A SEAL ezután ellenőrzi a beküldést: egyrészt az aláírások hitelességét, másrészt azt, hogy tényleg megjelennek-e a rosszindulatú minták (például seed-kérés, vagy wallet-csatlakozásnak álcázott engedélykérés).
Hogyan lehet használni?
A felhasználók be tudják küldeni azoknak az oldalaknak a „hitelesített bizonyítékát” (attestation), amelyeket adathalásznak gyanítanak. A rendszer privát bétában már futott, mostantól nyilvánosan is elérhető. A cél kettős: egyrészt gyorsabb reakció (tiltólistára tétel, blokkolás, figyelmeztetések), másrészt erősebb, kriptográfiailag igazolt bizonyíték, amelyet a platformok, böngészők és tárcák is könnyebben elfogadnak.
Kapcsolódó tartalom: Mi az a PhaaS, azaz az adathalászat, mint szolgáltatás?
Miért fontos ez a kriptós ökoszisztémának?
A csalók egyre kifinomultabb módszereket használnak – domain-klónozás, dinamikus tartalomszolgáltatás, geofókuszált átirányítás. A SEAL eszköze segít áthidalni a „láttam, de nem tudom bizonyítani” problémát, és rövidebb idő alatt juttathatja el a hiteles, technikailag ellenőrzött riasztásokat a nagy szereplőkhöz. A szervezet nem először lép: korábban elindította a SEAL-911 Telegram csatornát gyors incidensjelentésre, valamint a SEAL-ISAC együttműködési hálózatot, amely összeköti az áldozatokat a kutatókkal és a platformokkal. A non-profit kezdeményezést többek között az a16z crypto, az Ethereum Foundation és a Paradigm is támogatja.